謝宗曉，王興起

信息安全管理研究回顧與述評(píng)

謝宗曉，王興起

摘要信息安全管理是圖書館開展各類服務(wù)活動(dòng)的保障和基礎(chǔ)，極為重要。文章依據(jù)價(jià)值空間理論對(duì)現(xiàn)有的信息安全管理文獻(xiàn)進(jìn)行回顧與述評(píng)，結(jié)果發(fā)現(xiàn)：（1）概念化研究文章較少，以對(duì)成熟的概念框架整合和補(bǔ)充為主；（2）分析研究文章最多，以定量研究為主，案例研究應(yīng)用也較為廣泛，未來的趨勢(shì)趨于多方法多理論的整合研究；（3）設(shè)計(jì)導(dǎo)向研究文章關(guān)注技術(shù)領(lǐng)域，以數(shù)學(xué)建?；蚧诠こ探嵌葹橹?；（4）影響導(dǎo)向研究以信息安全為自變量，研究其影響的文獻(xiàn)較少。

關(guān)鍵詞網(wǎng)絡(luò)安全信息安全信息系統(tǒng)安全賽博安全

引用本文格式謝宗曉，王興起.信息安全管理研究回顧與述評(píng)[J].圖書館論壇，2016（5）：87-94.

信息安全一度被視為純粹的技術(shù)問題，雖然Dhillon和Backhouse[1]在2001年呼吁應(yīng)從管理學(xué)視角進(jìn)行探討，但我國學(xué)者的關(guān)注點(diǎn)仍集中于信息安全技術(shù)研發(fā)方面。而國外，尤其是美國，已有數(shù)十篇綜述文章關(guān)注信息安全管理或用戶安全行為方面的研究[2]。即便如此，信息安全管理綜述仍存在以下問題：詞匯引用混亂，“網(wǎng)絡(luò)安全(Network Security)”“信息安全(Information Security)”“計(jì)算機(jī)安全(Computer Security)”等都有出現(xiàn)；混淆“信息安全(InformationSecurity)”和“信息系統(tǒng)安全(Information System Security， ISS)”的概念；綜述文獻(xiàn)大多缺乏明確的脈絡(luò)，導(dǎo)致對(duì)未來研究的指導(dǎo)意義有限。為此，本文首先闡述信息安全及相關(guān)概念，然后介紹研究價(jià)值空間分類方法，并依照該分類框架對(duì)已有文獻(xiàn)進(jìn)行述評(píng)，最后按照研究價(jià)值空間和研究方法兩個(gè)維度進(jìn)行梳理。

1　信息安全及相關(guān)概念

1.1不同時(shí)期的信息安全詞匯

目前“計(jì)算機(jī)安全”“網(wǎng)絡(luò)安全”“信息安全”等在不同文獻(xiàn)中均有使用。方濱興[3]和沈昌祥[4]等指出，“通信安全(Communication Security)”“計(jì)算機(jī)安全”“網(wǎng)絡(luò)安全”“信息安全”等詞匯是信息化發(fā)展的不同階段根據(jù)安全側(cè)重點(diǎn)所定義的術(shù)語。在前信息化時(shí)期，通信安全是關(guān)注重點(diǎn)，泄密最容易發(fā)生在通信過程中。呂述望[5]認(rèn)為“知識(shí)安全(Knowledge Security)”會(huì)作為未來的重點(diǎn)而逐步代替這些詞匯，因?yàn)椤拔覀円Ｗo(hù)的不是數(shù)據(jù)，也不是信息，而是知識(shí)”，知識(shí)應(yīng)該是“被證實(shí)的、真實(shí)的、被相信的”。

1.2不同范疇的信息安全詞匯

信息系統(tǒng)研究領(lǐng)域多采用術(shù)語信息系統(tǒng)安全，信息系統(tǒng)安全與信息安全是存在交集的不同概念，ISO/IEC27000：2014中專門指出信息是廣義的，如存儲(chǔ)在信息系統(tǒng)中的電子數(shù)據(jù)、存儲(chǔ)在紙上的信息或口頭的(如談話和陳述)信息，也就是說，“信息系統(tǒng)安全”只是“信息安全”的一部分。此外，信息安全策略和員工安全行為等研究一般起源于心理學(xué)、社會(huì)學(xué)和犯罪學(xué)等社會(huì)科學(xué)領(lǐng)域，而防病毒軟件研發(fā)等則起源于計(jì)算機(jī)科學(xué)領(lǐng)域。Siponen[6]認(rèn)為，由于研究起源不同，或者說由于研究人員來自不同的學(xué)術(shù)共同體，據(jù)此可以區(qū)分“信息安全管理”和“信息安全技術(shù)”。本文所討論的信息安全管理專指起源于這些社會(huì)科學(xué)的相關(guān)研究，且不僅僅關(guān)注“信息系統(tǒng)”安全，而是廣義的“信息”的安全。

賽博安全(Cybersecurity)是另外一個(gè)不同范疇的概念。ISO/IEC27032：2012將賽博安全定義為不但包括了對(duì)信息資源的保護(hù)，且包括了其他資產(chǎn)，如人本身。這個(gè)定義與國際電信聯(lián)盟(ITU)的定義一致。

綜上所述，通信安全、網(wǎng)絡(luò)安全、計(jì)算機(jī)安全和信息安全是不同階段的稱呼，沒有本質(zhì)的不同；信息安全、信息系統(tǒng)安全和賽博安全則是并行在用的不同詞匯，其定義的范疇不同。本文沿用的“信息安全”術(shù)語，采用ISO/IEC27000：2014中對(duì)信息安全的定義，指保證信息的保密性、完整性和可用性，也可包括如真實(shí)性、可核查性、不可否認(rèn)性和可靠性。

2　價(jià)值空間理論與文獻(xiàn)篩選

2.1價(jià)值空間分類框架

Malhotra等[7]提出按照研究在其價(jià)值空間的位置進(jìn)行分類的框架。按照該框架，可以更清晰地梳理研究脈絡(luò)，據(jù)此指明研究方向，這與本文的綜述目的一致，因此本文沿用圖1所示的概念框架。圖1中的分類包括的具體文獻(xiàn)類型見表1。

圖1　研究價(jià)值空間

表1 研究價(jià)值分類明細(xì)

2.2文獻(xiàn)篩選標(biāo)準(zhǔn)化與統(tǒng)計(jì)結(jié)果

本文使用的期刊檢索數(shù)據(jù)庫主要是EBSCO 和 Science Direct，學(xué)位論文檢索數(shù)據(jù)庫為ProQuest。關(guān)鍵詞包括“Information Security”“Information System Security”，或標(biāo)題中含“Risk Management/Assessment/Analysis”“Weakness/Vulnerability/Threat”“Computer Abuse”且摘要中含有“Information Security”。在期刊選擇中，首先納入信息系統(tǒng)的三大權(quán)威期刊 MIS Quarterly、Information System Research、Journal of Management Information Systems，然后選擇影響因子排名前八的期刊，以及信息安全管理方面的專門期刊，同時(shí)檢索A+的信息系統(tǒng)會(huì)議和學(xué)位論文。此外，還檢索了AMJ等重要的管理學(xué)期刊。檢索截止日期為：2014年9月25日，最終確定的文獻(xiàn)來源期刊及數(shù)目見表2。

表2　重要論文來源及數(shù)目

3　信息安全研究脈絡(luò)梳理

3.1概念化研究

概念化研究主要包括文獻(xiàn)綜述、概念框架等。在信息安全業(yè)界已被廣泛接受的ISMS和COBIT等都可以被認(rèn)為是概念框架，目標(biāo)是建立近乎閉環(huán)的信息安全實(shí)施方法論。新提出的概念框架往往是對(duì)已有框架的補(bǔ)充或整合，如Ransbotham、Mitra[8]整合了一系列犯罪學(xué)理論稱為信息安全策略妥協(xié)過程的概念模型，Willison、Warkentin[9]則設(shè)計(jì)了一個(gè)預(yù)防、檢測(cè)和糾正防止計(jì)算機(jī)濫用的安全概念模型。這些概念框架需要后續(xù)的實(shí)證研究。還有一些文獻(xiàn)專門界定概念，如Von、Van[10]對(duì)“信息安全”與“賽博安全”進(jìn)行了區(qū)分。

由于信息安全管理文獻(xiàn)相對(duì)匱乏，在該領(lǐng)域內(nèi)并沒有非常全面的綜述文章。Dhillon、Backhouse[11]按研究范式對(duì)2001年前的研究文獻(xiàn)進(jìn)行梳理，斷言信息安全研究主流必然從以數(shù)學(xué)建模為基礎(chǔ)的功能范式轉(zhuǎn)向社會(huì)—組織視角的其他范式，Crossler等[12]也表述了該概念，不同的是后者明確定義了行為信息安全研究。

D’Arcy和Herath[13]、Crossler等[14]、Guo[15]都發(fā)表了關(guān)于個(gè)體安全行為的綜述文章。威懾理論是在信息安全情境中應(yīng)用次數(shù)最多的犯罪學(xué)理論，D’Arcy和Herath指出威懾理論存在的主要問題：對(duì)懲罰敏捷性的探討不夠，大部分文獻(xiàn)只驗(yàn)證了嚴(yán)厲性和確定性兩個(gè)維度；研究結(jié)論不統(tǒng)一，可能需要從交互作用角度進(jìn)行探討。實(shí)際上其他個(gè)體行為理論在信息安全情境中的應(yīng)用也存在研究結(jié)論不統(tǒng)一的現(xiàn)象，Guo[16]提出了另外一種思路，歸因?yàn)闃?gòu)念不統(tǒng)一，總結(jié)了當(dāng)前研究中出現(xiàn)過的8種因變量。

Siponen[17-18]雖然綜述的框架完善，但就研究貢獻(xiàn)而言，對(duì)信息安全管理研究的參考意義有限。首先，文獻(xiàn)的篩選期刊范圍，在信息系統(tǒng)研究里都不是頂級(jí)的信息系統(tǒng)研究期刊[19]；其次，這兩篇文獻(xiàn)沒有區(qū)分“信息安全管理”和“信息安全技術(shù)”。

3.2分析研究

按照價(jià)值空間的分類方法，絕大部分的信息安全管理研究歸為“分析研究”。如表1所示，分析研究包括了民族志分析和闡釋學(xué)分析等質(zhì)的研究，也包括了最常見的案例研究和定量實(shí)證分析等。

定量實(shí)證分析是信息系統(tǒng)權(quán)威期刊中最常見的研究方法。Siponen等[20]統(tǒng)計(jì)得出2008年之前在信息系統(tǒng)安全研究領(lǐng)域只有1.51%的論文采用定量實(shí)證。這種情況在近幾年有了較大的改觀，不僅如此，越來越多的論文應(yīng)用了多個(gè)理論。例如，Herath和Rao[21]在同一個(gè)研究中就應(yīng)用了威懾理論、保護(hù)動(dòng)機(jī)理論、組織承諾以及解構(gòu)式計(jì)劃行為理論。

大量的關(guān)于個(gè)體行為的犯罪學(xué)和心理學(xué)理論被應(yīng)用到信息安全情境中。Hu等[22]在計(jì)劃行為理論模型中加入高層管理與組織文化等相關(guān)構(gòu)念，探討高層管理如何影響員工的安全行為遵守。Bulgurcu等[23]不但應(yīng)用了計(jì)劃行為理論，還應(yīng)用了理性選擇理論。Siponen和 Vance[24]驗(yàn)證了中立理論，他們?cè)谕粋€(gè)模型中還驗(yàn)證了威懾理論。威懾理論可能是目前被應(yīng)用次數(shù)最多的理論[25]。Guo和Yuan[26]、Hu等[27]、D’Arcy 和Devaraj[28]、Herath和Rao[29-30]等人都應(yīng)用了該理論。

另一個(gè)應(yīng)用次數(shù)較多的理論是恐懼訴求和保護(hù)動(dòng)機(jī)理論。這兩個(gè)理論最早被應(yīng)用于個(gè)人健康領(lǐng)域，之后又被廣泛地應(yīng)用于如酒駕、自行車安全帽等與個(gè)體健康有關(guān)聯(lián)的諸多研究領(lǐng)域中，在營銷學(xué)和廣告學(xué)領(lǐng)域也有廣泛應(yīng)用。Johnston[31]將其引入到信息安全情境，在后續(xù)的研究中，Vance等[32]、Ifinedo[33]、Anderson和Agarwal[34]、Johnston等[35]以及Siponen等[36]均應(yīng)用了恐懼訴求或保護(hù)動(dòng)機(jī)理論。但是這兩個(gè)理論與信息安全情境的契合度并不是很高，因?yàn)閷?duì)于信息安全事件的發(fā)生，直接傷害的一般是組織的利益，而不是員工本人，這與生產(chǎn)安全中的佩戴安全帽等有很大的不同，這其中的邏輯是信息安全事件損害了組織利益，而具體人員又受到了組織的懲罰，作用鏈條太長。

值得指出的是，Johnston等[37]將簡單的多個(gè)理論應(yīng)用轉(zhuǎn)移到理論整合的角度，他們將威懾理論的某些構(gòu)念整合至恐懼訴求模型中創(chuàng)新性地提出加強(qiáng)的恐懼訴求框架，用來解釋信息安全策略遵守行為。

案例研究也是被廣泛應(yīng)用的研究方法。Backhouse等[38]以ISO/IEC 27001為案例，從權(quán)力回路的視角解釋了權(quán)力與政治在國際標(biāo)準(zhǔn)產(chǎn)生和開發(fā)過程中所起的作用。其中ISO/IEC27001是目前應(yīng)用最廣泛的信息安全標(biāo)準(zhǔn)之一，Hsu[39]也引用了一個(gè)在臺(tái)灣某金融機(jī)構(gòu)部署過程的案例。

越來越多的研究傾向于多方法。Spears和Barki[40]通過定性分析提出假設(shè)，然后通過問卷調(diào)查來做驗(yàn)證。Flores等[41]也是先設(shè)計(jì)了一個(gè)探索性定性研究方案找到哪些信息安全治理行為會(huì)促進(jìn)信息安全信息共享，然后用定量的問卷調(diào)查驗(yàn)證假設(shè)。但是國內(nèi)信息安全管理的實(shí)證論文則非常匱乏，我們?cè)贑NKI中限定CISSP刊源，僅有謝宗曉等[42]運(yùn)用了“用戶參與理論”建構(gòu)了多重中介模型，并進(jìn)行了大樣本的數(shù)據(jù)驗(yàn)證。

3.3設(shè)計(jì)導(dǎo)向研究

設(shè)計(jì)導(dǎo)向研究在信息安全技術(shù)研究領(lǐng)域最為常見，這類研究一般都利用數(shù)學(xué)建?；蚧诠こ探嵌?，例如，Abbasi等[43]設(shè)計(jì)了一個(gè)假冒網(wǎng)站的檢測(cè)系統(tǒng)。這類研究更偏向于信息安全技術(shù)，已經(jīng)超出了本文的討論范圍，在國外研究進(jìn)展中，我們重點(diǎn)研究兩篇主要關(guān)注管理思路的標(biāo)準(zhǔn)整合研究。

Mesquida等[44]應(yīng)用的是基于建設(shè)性研究的設(shè)計(jì)科學(xué)研究范式，主要關(guān)注ISO/IEC 15504與ISO/IEC 27000標(biāo)準(zhǔn)族的整合應(yīng)用，其中包括了ISO/IEC 15504-5與ISO/IEC 27002控制措施之間的映射。該文獻(xiàn)的貢獻(xiàn)主要在實(shí)踐領(lǐng)域，理論貢獻(xiàn)可能有限。

Thalmann等[45]則主要試圖解決供應(yīng)商需要面對(duì)數(shù)量眾多的安全與合規(guī)性管理的標(biāo)準(zhǔn)、最佳實(shí)踐等。這個(gè)思想并不新鮮，無論是用軟件實(shí)現(xiàn)還是人工實(shí)現(xiàn)，其原理都是一樣的，即將安全要求分解，然后根據(jù)不同的標(biāo)準(zhǔn)或最佳實(shí)踐重組。分解之后的要求，如果用形式化的語言描述，就成了NIST所公布的安全內(nèi)容自動(dòng)化協(xié)議(SCAP)，基于此，最經(jīng)典的應(yīng)用就是美國聯(lián)邦政府桌面核心配置(FDCC)。

在國內(nèi)研究進(jìn)展方面，正如惠志斌[46]的統(tǒng)計(jì)所顯示，信息安全文獻(xiàn)多集中在計(jì)算機(jī)類、情報(bào)類和圖書館類的期刊，沿Siponen[47]的解釋路徑對(duì)此進(jìn)行分析，由于學(xué)科之間的繼承關(guān)系，計(jì)算機(jī)和情報(bào)學(xué)研究領(lǐng)域刊發(fā)信息安全文獻(xiàn)多采用數(shù)學(xué)建模或軟件設(shè)計(jì)，而圖書館學(xué)的信息安全研究多偏重論述或體系設(shè)計(jì)。例如，在與信息安全聯(lián)系最為緊密的數(shù)字圖書館研究領(lǐng)域，茆意宏和黃水清[48]討論了數(shù)字圖書館的信息安全標(biāo)準(zhǔn)選擇，認(rèn)為最合適的標(biāo)準(zhǔn)是同時(shí)也廣泛應(yīng)用于醫(yī)療、金融等行業(yè)的ISO/IEC 27001；董凌軒等[49]討論了圖書館博物館檔案館數(shù)字化融合服務(wù)的信息安全管理；陳臣和馬曉婷[50]則探討了“云”數(shù)字圖書館所面臨的信息安全問題。此外，信息安全在圖書館的部署重點(diǎn)顯然與其他領(lǐng)域不同，因此，李文淵[51]和婁策群等[52]列出了數(shù)字圖書館應(yīng)該關(guān)注的安全域，周威平[53]給出了數(shù)字圖書館的信息安全管理架構(gòu)。

3.4影響導(dǎo)向研究

在信息系統(tǒng)研究領(lǐng)域，影響導(dǎo)向的實(shí)證研究比較多，例如，存在大量的探討信息系統(tǒng)部署對(duì)企業(yè)績效影響的研究。但在信息安全管理研究領(lǐng)域，大部分的研究都是以“信息安全”作為因變量，僅有少量研究關(guān)注信息安全所產(chǎn)生的影響。

Gordon等[54]通過文本搜索，對(duì)美國上市公司年報(bào)中的信息安全披露與股價(jià)作了回歸分析。Wang等[55]探討了公司年報(bào)中安全風(fēng)險(xiǎn)披露所導(dǎo)致的市場(chǎng)反應(yīng)。Li等[56]以SOX404為背景，探討了企業(yè)內(nèi)部控制報(bào)告中的主要IT控制漏洞和管理收益預(yù)測(cè)準(zhǔn)確性之間的關(guān)系。對(duì)檔案數(shù)據(jù)(如上市公司年報(bào)等)作回歸分析在信息安全研究中并不常見，可能由于信息安全不在上市公司年報(bào)強(qiáng)制披露之列，因此數(shù)據(jù)不易獲取。

此外，Smith等[57]與Backhouse等[58]保持了研究的連貫性，應(yīng)用行動(dòng)研究探討了ISO/IEC 27001的部署過程。Puhakainen和Siponen[59]用行動(dòng)研究探討了培訓(xùn)規(guī)程如何改變員工行為并在實(shí)踐中進(jìn)行了驗(yàn)證。

4　思考與展望

綜上所述，雖然最近幾年越來越多的學(xué)者開始關(guān)注信息安全問題，但是整體而言，對(duì)諸多問題的研究還遠(yuǎn)遠(yuǎn)不夠，具體表現(xiàn)在以下幾個(gè)方面：

第一，缺乏原創(chuàng)理論，絕大部分的研究只是拓展了已有理論的適用情境。Crossler等[60]指出，在犯罪學(xué)領(lǐng)域，會(huì)有大量的新理論涌現(xiàn)，然后諸多跟進(jìn)的實(shí)證研究會(huì)驗(yàn)證或否定這些理論，或者對(duì)這些理論進(jìn)行修正。但是在信息安全領(lǐng)域顯然缺乏這樣的氛圍。實(shí)際上，這種情形同樣存在于信息系統(tǒng)研究中，除了技術(shù)接受模型遵循了這樣的路線，絕大部分研究仍是以借用其他學(xué)科理論為主。

造成這種情形的原因有很多。首先，犯罪學(xué)、心理學(xué)或社會(huì)學(xué)等具有更長的研究歷史。雖然作為獨(dú)立的學(xué)科分離出來時(shí)間并不長，但對(duì)個(gè)體行為或群體行為的觀察和解釋由來已久。例如，技術(shù)接受模型起源于理性行為理論，由于新生事物的出現(xiàn)不會(huì)在本質(zhì)上改變?nèi)祟愋袨?，因此從理論解釋角度必然建立在之前理論的基礎(chǔ)上，并可能會(huì)限定更狹窄的適用領(lǐng)域。其次，主流信息系統(tǒng)學(xué)術(shù)期刊更青睞實(shí)證研究。對(duì)于實(shí)證研究而言，最主要的理論貢獻(xiàn)是檢驗(yàn)現(xiàn)有理論。當(dāng)然，現(xiàn)在越來越多的期刊開始關(guān)注理論建構(gòu)，因此越來越多的研究轉(zhuǎn)移至案例研究、扎根理論和民族志研究等以建構(gòu)理論為導(dǎo)向的研究。

在原創(chuàng)理論匱乏的情況下，我們可以借鑒犯罪學(xué)研究領(lǐng)域的理論整合方式。Elliott等[61]認(rèn)為整合是理論創(chuàng)新的途徑之一。在信息系統(tǒng)權(quán)威期刊MIS Quarterly也已經(jīng)出現(xiàn)了理論整合的研究。在之后的研究中，應(yīng)該根據(jù)Bernard和Snipes[62]及Bernard[63]的建議，“不要過度關(guān)注理論本身，而是應(yīng)該著重研究變量與變量間的關(guān)系”，從而“提高模型的預(yù)測(cè)能力”。

第二，主流研究還是以技術(shù)為主，管理為輔。這個(gè)問題自Dhillon和Backhouse[64]于2001年提出來，經(jīng)過十余年的發(fā)展，雖然有進(jìn)展，但是并沒有根本改變“重技術(shù)，輕管理”的現(xiàn)狀，無論在研究領(lǐng)域還是在實(shí)踐領(lǐng)域，這種現(xiàn)象都存在。Furnell和Clarke[65]回顧了在信息安全的發(fā)展過程中，業(yè)界對(duì)“人”在其中所起作用的認(rèn)識(shí)提升過程，從中可以看出，人員及其管理受到越來越多的關(guān)注。而且，有一些比較契合信息安全情境的理論也得到了較為充分的研究，例如威懾理論和保護(hù)動(dòng)機(jī)理論。

當(dāng)然，這種現(xiàn)象可能不僅僅是學(xué)者們的意識(shí)問題，還有一個(gè)原因可能歸結(jié)為自然科學(xué)研究和社會(huì)科學(xué)研究的區(qū)別。即便如此，在信息技術(shù)較為充分的發(fā)展和應(yīng)用之后，重點(diǎn)理應(yīng)從“如何開發(fā)”轉(zhuǎn)移到“如何應(yīng)用”。

第三，研究方法比較單一，樣本來源比較集中。首先，現(xiàn)有的研究多采用定量實(shí)證研究，而且大多都用自報(bào)告模式的問卷調(diào)查。其次，目前絕大部分的研究都是采用美國公司員工或MBA作為研究樣本，信息安全管理不可避免的受到文化、政治和法律等環(huán)境要素的影響，應(yīng)該進(jìn)行更多的跨文化研究，或者進(jìn)行比較研究。

研究數(shù)據(jù)獲取困難是目前信息安全管理研究所面臨的困難之一，例如，由于黑客群體難以接近，導(dǎo)致絕大部分的研究都集中于公司員工。Mahmood等[66]認(rèn)為很多黑客可能具有反社會(huì)人格，很難用正常人的邏輯去揣測(cè)或者模擬實(shí)驗(yàn)。影響導(dǎo)向的研究停滯不前與數(shù)據(jù)獲取也有很大的關(guān)系，例如，普遍認(rèn)為信息安全不會(huì)提高組織的收益，只會(huì)減少可能的損失，這種論調(diào)由于缺乏檔案數(shù)據(jù)導(dǎo)致并沒有穩(wěn)健的實(shí)證研究。隨著越來越多的組織開始通過各種途徑披露信息安全事件及內(nèi)控措施，這可能會(huì)在一定程度上解決這種情形。

第四，絕大部分的信息安全管理研究都集中在個(gè)體行為，分析層次為組織的研究非常匱乏。學(xué)者的學(xué)科背景可能是成因之一，美國研究信息安全管理的知名學(xué)者，例如，Straub和Warkentin等都出自信息系統(tǒng)研究領(lǐng)域，因此，信息安全管理幾乎繼承了所有的信息系統(tǒng)研究領(lǐng)域的研究方法，形成了以個(gè)體行為理論為基礎(chǔ)的實(shí)證研究為主流的研究現(xiàn)狀。據(jù)林潤輝等[67]統(tǒng)計(jì)，截至2014年底，已經(jīng)有11種個(gè)體行為理論，卻只有3種組織行為理論應(yīng)用到了信息安全領(lǐng)域，在后續(xù)的研究中，應(yīng)該從不同的單元分析信息安全，例如，工作組層次或組織層次。參考文獻(xiàn)

[1][11][64]Dhillon G，Backhouse J.Current directions in IS security research：towards socio-organizational perspectives[J].InformationSystemsJournal，2001，11（2）：127-154.

[2][19][67]林潤輝，李大輝，謝宗曉，等.信息安全管理理論與實(shí)踐[M].北京：中國標(biāo)準(zhǔn)出版社，2015：7-13.

[3]方濱興.信息安全四要素：詮釋信息安全[EB/OL]. [2015-06-12].http：//pact518.hit.edu.cn/viewpoint/ annotation/view.doc.

[4]沈昌祥，張煥國，馮登國，等.信息安全綜述[J].中國科學(xué) E輯：信息科學(xué)，2007，37（2）：129-150.

[5]周雪.呂述望教授談知識(shí)安全和未來網(wǎng)絡(luò)[J].信息安全與通信保密，2012（3）：20-21.

[6][47]Siponen M T，Analysis of modern IS security development approaches：towards the next generation of social and adaptable ISS methods[J].Information and Organization，2005，15（4）：339-375.

[7]Malhotra A，Melville N P，Watson R T.Spurring impactful research on information systems for environmental sustainability[J].MISQuarterly，2013，37（4）：1265-1274.

[8]Ransbotham S，Mitra S.Choice and Chance：A Conceptual Model of Paths to Information Security Compromise[J].Information SystemsResearch，2009，20（1）：121-139.

[9]Willison R，Warkentin M.Beyond deterrence：An Expanded View of Employee computer Abuse[J].MIS Quarterly，2013，37（1）：1-20.

[10]Von Solms R，Van Niekerk J，F(xiàn)rom Information Security to Cyber Security[J].Computer&Security，2013（38）：97-102.

[12][14][60]Crossler R E，Johnston A C，Lowry P B，et al. Future directions for behavioral information security research[J].Computers&Security，2013（32）：90-101.

[13][25]D’Arcy J，Herath T.A review and analysis of deterrence theory in the IS security literature：making sense of disparate findings[J].European Journal of informationsystem，2011（20）：643-658.

[15][16]Guo K H.Security-related behavior in using information systems in the workplace：A Review and Syn-thesis[J].Computers&Security，2013（32）：242-251.

[17]Siponen MT.An analysis of traditional IS security approaches：implications for research and practice [J].European Journalofinformation system，2005（14）：303-315.

[18][20]Siponen M，Willison Robert，Baskerville R.Power and Practice in Information Systems Security Research [EB/OL].[2015-05-16].http：//aisel.aisnet.org/ icis2008/26.

[21][29]Herath，T.，H.R.Rao.Protection motivation and deterrence：a framework for security policy compliance in organizations[J].European Journal of Information Systems，2009，18（2）：106-125.

[22]Hu Q，Denev T，Cooke D.Managing Employee Compliance with Information Security Policies：The Critical Role of Top Management and Organizational Culture[J].DecisionSciences，2012，43（4）：615-660.

[23]Bulgurcu B，Cavusoglu H，Benbasat I.Information Security Policy Compliance：an Empirical Study of Rationality-basedBeliefs andInformationSecurity Awareness[J].MISQuarterly，2010，34（3）：523-548.

[24]SiponenM，VanceA.Neutralization：New Insightsinto the Problem of Employee Information Systems Security Policy Violations[J].MIS Quarterly，2010，34（3）：487-502.

[26]Guo K H，Yuan Y.The EffectsofMultilevel Sanctions on Information Security Violations：A mediating Model [J].Information&Management，2012，49（6）：320-326.

[27]Hu Q，Xu Z，DenevT，et al.Doesdeterrencework in reducinginformation securitypolicyabuse byemployees? [J]Communications of the ACM，2011，54（6）：54-60.

[28]D’Arcy J，Devaraj S.Employee Misuse of Information TechnologyResources：Testing a Contemporary Deterrence Model[J].Decision Sciences，2012，43（6）；1091-1124.

[30]Herath T，Rao H R.Encouraging information security behaviorsin organizations：Role ofpenalties，pressures andperceivedeffectiveness[J].DecisionSupportSystems，2009，47（2）：154-165.

[31]Johnston AC.An empiricalinvestigation ofthe influence of fear appeals on attitudes and behavioral intentions associatedwithrecommendedindividual computer securityaction[D].Starkville：MississippiState University，2006.

[32]Vance A，Siponen M，PahnilaS.Motivating ISsecurity compliance：Insights from Habit and Protection-Motivation Theory[J].Information&Management，2012，49（3-4）：190-198.

[33]Ifinedo P.Understanding information systems security policy compliance：An integration of the theory of planned behavior and the protection motivation theory [J].Computers&Security，2012，31（1）：83-95.

[34]AndersonC L，AgarwalR.PracticingSafeComputing：a MultimediaEmpirical Examination of Home Computer User Security Behavioral Intentions[J].MIS Quarterly，2010，34（3）：613-643.

[35]JohnstonA C，WarkentinM，SiponenM.AnEnhanced Fear AppealRhetoricalFramework：LeveragingThreats to the Human Asset through Sanctioning Rhetoric[J]. MISQuarterly，2015，39（1）：113-134.

[36]Siponen M，Mahmood M A，Pahnila S.Employees’adherencetoinformationsecuritypolicies： An exploratoryfieldstudy：New insightsinto theproblem of software piracy：The effects of neutralization，shame，and moral beliefs[J].Information&Management，2014，51（7-8）：217-224.

[37]Johnston A C，Warkentin M.Fear Appeals and Information SecurityBehaviors：An EmpiricalStudy[J]. MISQuarterly，2010，34（3）：549-566.

[38][58]BackhouseJ，Hsu C W，SilvaL.Circuitsofpowerin creating de jure standards：shaping an international information systemssecuritystandard[J].MISQuarterly，2006（30）：413-438.

[39]Hsu C W.Frame misalignment：interpreting the implementation of information systemssecurity certification in an organization[J].European JournalofInformation Systems，2009，18（2），140-150.

[40]Spears J L，Barki H.User Participation in Information Systems Security Risk Management[J].MIS Quarterly，2010，34（3）：503-522

[41]Flores W R，Antonsen E，Mathias E.Information securityknowledgesharinginorganizations：Investigating the effect of behavioral information security governance and national culture[J].Computer&Security，2014 （43）：90-110.

[42]謝宗曉，林潤輝，王興起.用戶參與對(duì)信息安全管理有效性的影響——多重中介方法[J].管理科學(xué)，2013，26（3）：65-76.

[43]Abbasi A，Zhang Z，Zimbra D，et al.Detecting Fake Websites： The Contribution of Statistical Learning Theory[J].MISQuarterly，2010，34（3）：435-461.

[44]Mesquida，Antoni Lluís.Mas，Antonia.Implementing information security best practices on software lifecycle processes：The ISO/IEC 15504 Security Extension[J]. Computers&Security，2015（48）：19-34.

[45]Thalmann S，Bachlechner D，Demetz L， et al. Complexityisdead，longlivecomplexity!How software canhelpserviceprovidersmanagesecurityand compliance[J].Computers&Security，2014（45）：172-185.

[46]惠志斌.國內(nèi)信息安全研究發(fā)展脈絡(luò)初探——基于1980-2010年CNKI核心期刊的文獻(xiàn)計(jì)量與內(nèi)容分析[J].圖書情報(bào)工作，2012（6）：14-19.

[48]茆意宏，黃水清.數(shù)字圖書館信息安全管理依從標(biāo)準(zhǔn)的選擇[J].中國圖書館學(xué)報(bào)，2010（4）：54-60.

[49]董凌軒，劉友華，朱慶華，等.圖博檔數(shù)字化融合服務(wù)中的信息安全管理[J].圖書館論壇，2014（3）：107-112.

[50]陳臣，馬曉亭.“云”數(shù)字圖書館信息安全與對(duì)策研究[J].高校圖書館工作，2011（5）：58-60.

[51]李文淵.談數(shù)字圖書館的網(wǎng)絡(luò)信息安全[J].圖書館論壇，2003（1）：54-56.

[52]婁策群，范昊，王菲.現(xiàn)代信息技術(shù)環(huán)境中的信息安全問題及其對(duì)策[J].中國圖書館學(xué)報(bào)，2006（6）：32-36.

[53]周威平.圖書館信息安全管理架構(gòu)與實(shí)踐[J].高校圖書館工作，2010（5）：70-73.

[54]Gordon L A，Loeb M P，Sohail T.Market value of voluntary disclosuresconcerning information security[J]. MISQuarterly，2010，34（3）：567-594.

[55]Wang T，Kannan K N，Ulmer J R.The Association betweentheDisclosureandtheRealizationofInformation SecurityRiskFactors[J].Information SystemsResearch， 2013，24（2）：201-218.

[56]Li C，PetersG F，Richardson V J，et al.The ConsequencesofInformation Technology Control Weaknesses on Management Information Systems：the case of Sarbanes-OxleyInternalControlReports[J].MISQuarterly，2012，36（1）：179-203.

[57]Smith S，Winchester D，Bunker D，et al.Circuits of power：astudyofmandatedcompliancetoaninformation systems security de jure standard in a government organization[J].MISquarterly，2010，34（3）：463-486.

[59]Puhakainen P，Siponen M.Improving Employees’CompliancethroughInformationSystems Security Training：An Action Research Study[J].MISQuarterly，2010，34（4）：757-778.

[61]Elliott D S，Huizinga D，Ageton S S.Explaining delinquencyanddruguse[M]//ElliottDS.Theassumption that theoriescan be combined with increased explanatory power：theoretical integration.Beverly Hills，CA：SagePublications，1995.

[62]Bernard T J，Sinpes J B.The oretical integration in criminology[M]//Michael Tonry，Crime and Justice：a review of research，Vol，20，University of Chicago Press，Chicago，1996.

[63]Bernard T J.Integrating theories in criminology[M]// Raymond Paternoster and Ronet Bachman，explaining criminalsandchew，Roxbury，LosAngeles，2001.

[65]FurnellS，Clarke N.Power to the people?The evolving recognition of human aspectsof security[J].Computer& Secuirty，2012，31（8）：983-988.

[66]MahmoodMA，SiponenM，StraubDW，etal.Moving towardblackhatresearch in information systemssecurity：an editorial introduction to the special issue[J].MIS Quarterly，2010，34（3）431-433.

作者簡介謝宗曉，南開大學(xué)商學(xué)院博士生；王興起，西南交通大學(xué)心理研究與咨詢中心講師。

收稿日期2015-07-15

A Review of Information Security Management Research

XIEZong-xiao，WANGXing-qi

AbstractIn this paper，existing literature about information security management is reviewed.Results show：（1）conceptual research articles are scarce，which is primarily concerned to the integration and complement of mature conceptual framework；（2）analysis research articles are at most，mainly quantitative researches and case studies，and future researches tend to integrate with multiple methods and theories；（3）design-oriented researches focus on the fields of technology，chiefly on the basis of mathematical modeling or engineering perspectives；（4）impact-oriented researches which take information security as independent variable are rather limited.

Keywordsinternet security；information security；information system security；cyber security